Direktionens säkerställande av IT-säkerhetsskydd

Riksbankens diarienummer 2011-97-STA
PROTOKOLLSBILAGA C
Fullmäktiges protokoll 2011-02-04, § 6
Direktionens
säkerställande
av ITsäkerhetsskydd
Fullmäktiges revisionsenhet (REV)
Håkan Skyllberg, BDO
Direktionens säkerställande av IT säkerhetsskydd
I arbetsordningen framgår att direktionen ska tillse att ett effektivt säkerhetsskydd
upprätthålls i banken.
REV har översiktligt granskat

hur direktionen säkerställer att ett effektivt säkerhetsskydd inom IT upprätthålls;

hur efterlevnad till beslutade regelverk avseende informationssäkerhet
utvärderas och rapporteras till direktionen samt;

hur informationsincidenter rapporteras till direktionen.
Hur direktionen säkerställer att ett effektivt
säkerhetsskydd inom IT upprätthålls
Direktionen har fastställt en IT-policy och en säkerhetspolicy. De regler som finns
idag inom IT-säkerhetsområdet är framtagna av den tidigare säkerhetsenheten och
fastställda av chefen för den administrativa avdelningen
Efter omorganisationen som genomfördes den 1 januari 2010 har säkerhetschefen
inte längre huvudansvaret för informationssäkerhetsfrågor. Ansvaret för Riksbankens
övergripande ramverk för informationssäkerhet har flyttats till riskenheten på
stabsavdelningen. Regler och policies är under översyn och ska skrivas om, men
innehållet kommer i stor utsträckning att påverkas av resultatet i projektet RITS, som
avslutas under våren 2011.

REV slutsats är att arbetssättet inom Riksbanken är under omarbetning, bl.a. som
ett led i arbetet med ISK (Intern Styrning och Kontroll). Vi bedömer att en
djupare granskning är adekvat först efter införande av det omarbetade
arbetssättet.
Hur efterlevnad till beslutade regelverk avseende
informationssäkerhet utvärderas och rapporteras
till direktionen
Direktionen har sedan tidigare fastställt policy för området:

Riksbankens säkerhetspolicy (DNR 2008-915-ADM)
Vidare har den administrativa avdelningen beslutat om följande regler:

Regler för styrning av informationssäkerhet (DNR 2008-1020-ADM)

Regler för hantering av Riksbankens information (DNR 2008-886-ADM)

Regler för användning av Riksbankens IT-resurser (DNR 2009-441-ADM)
I samband med översynen av dessa dokument, som genomfördes 2010,
kompletterades de med en fotnot där det framgår bl.a. att efter omorganisationen
som genomfördes den 1 januari 2010 har säkerhetschefen inte längre huvudansvaret
för informationssäkerhetsfrågor. Ansvaret för Riksbankens övergripande ramverk för
informationssäkerhet har flyttats till riskenheten på stabsavdelningen. Regler är under
översyn och ska skrivas om, men innehållet kommer i stor utsträckning att påverkas
av resultatet i projektet RITS, som avslutas under våren 2011.
Hur informationsincidenter rapporteras till
direktionen
I tertialrapporteringen som genomförts under 2010 återfinns riskenhetens
rapportering avseende operativ risk där bl.a. IT-relaterade incidenter, hotbilder och
systemrisker återfinns.
REV kan konstatera att den nuvarande rapporteringen förefaller att vara
ändamålsenlig.
Projekt RITS – Rätt IT-Säkerhet
Riskenheten har i beslutsunderlag till projekt RITS (DNR 2010-703-STA) konstaterat
att nuvarande arbetssätt har förbättringspotential avseende ansvars- och
arbetsfördelning. Det finns även skäl att se över processer och styrmedel för att
stödja formuleringen av säkerhetskrav utifrån verksamhetens behov.
Projektet RITS syfte är att ta fram, fastställa och förankra ett ramverk (regler, rutiner
och övriga hjälpmedel) för hantering av säkerhet i IT-miljöer inom Riksbanken.
Genomförs under perioden oktober 2010 till april 2011 med effektmålen:

Överenskommen nivå för rätt säkerhet i IT-miljön

Effektiv hantering av IT-risker
Och produktmålen:

Styrdokument för övergripande styrning av IT-säkerhet

Styrdokument för reglering av basnivåer för IT-säkerhet

Verktyg och hjälpmedel för tillämpning av styrdokumenten